IT-Sicherheit

DeathStalker

Hacker-Gruppe nimmt KMUs ins Visier

von 04.09.2020
hacker-gruppe
Niemand weiß, wer im Einzelnen hinter der Hacker-Gruppe Lazarus steckt. © xusenru / Pixabay

DeathStalker ist der klangvolle Name einer relativ jungen Hacker-Gruppe, die es gezielt auf kleine bis mittlere Unternehmen abgesehen hat. Ihre Spezialität dabei: Der Diebstahl von sensiblen Daten und Geschäftsgeheimnissen.
Wir verraten Ihnen, wie die Cyberkriminellen arbeiten und woran sie potentielle DeathStalker-Angriffe erkennen.

hacker-gruppe deathstalker

Niemand weiß, wer hinter der Hacker-Gruppe DeathStalker steckt. Bild: Pixabay/xusenru

DeathStalker – Cybercrime seit 2018

Die DeathStalker-Gruppe existiert vermutlich erst seit dem Jahr 2018 (genauso übrigens wie die Lazarus-Gruppe, eine der gefährlichsten Hacker-Vereinigungen der Welt), wobei sich Experten diesbezüglich nicht einig sind, denn auch schon sechs Jahre zuvor tauchten Angriffsmuster auf, die heute als charakteristisch für die Gruppe gelten. Aber wie dem auch sei, Fakt ist: Die DeathStalker-Mitglieder haben es auf KMUs abgesehen.
Vorzugsweise auf Finanzunternehmen, einzelne Finanzberater und Anwaltskanzleien. Also überall dort, wo es um sehr sensible Daten geht. Parallel dazu soll mindestens ein Angriff auf eine diplomatische Institution stattgefunden haben.
Das Angriffsziel der DeathStalker-Gruppe ist dabei immer dasselbe: der Diebstahl von Geschäftsgeheimnissen und Daten, die so brisant sind, dass sie auf keinen Fall an die Öffentlichkeit gelangen sollen.

DeathStalker: Hacker-Gruppe hat es auf sensible Daten abgesehen

Die Sicherheitsexperten von Kaspersky, die nun ihre Forschungsergebnisse über die Hacker-Gruppe im hauseigenen Blog veröffentlichten, sind sich noch nicht vollständig schlüssig, welches übergeordnete Ziel hinter den Ambitionen steht. Generell sollen zwei Möglichkeiten in Frage kommen:

  1. Die Cyberkriminellen verdienen ihr Geld damit, indem sie die gestohlenen Daten im Darknet anbieten und weiterverkaufen.
  2. Die Hacker fungieren als eine Art Söldnergruppierung und bieten sozusagen einen Angriffsservice, der beispielsweise von konkurrierenden Unternehmen oder anderen Kriminellen in Anspruch genommen werden kann.

Beides klingt nicht wirklich beruhigend. Und vor allem: Niemand kann mit Sicherheit ausschließen, auf der potentiellen Opfer-Liste der Gruppierung zu stehen.

phishing scams

Spear-Phishing Scams gilt als eine der größten Gefahren. Bild: Pixabay/Tumisu

Typische Angriffsmuster der Hacker-Gruppe

Die Kriminellen greifen die Unternehmen vornehmlich über eine Spear-Phishing-Attacke an. Dabei handelt es sich um eine zielgerichtete Form des klassischen Phishings. Bedeutet: Während eine reguläre Phishing-Attacke meist sehr breit und ohne wirkliches Ziel beziehungsweise wahllos an hunderte Adressen gestreut wird, nehmen die Hintermänner beim Spear-Phishing eine konkrete Institution oder Firma ins Visier.
Das Prinzip ist dabei unverändert. Gefälschte E-Mails sollen den Empfänger unabsichtlich dazu verleiten, Daten freizugeben, Malware zu installieren oder Zugriff auf das System zu ermöglichen. Im Falle von DeathStalker dringen die Hacker mittels des Phishings-Angriffs in das Netzwerk ein und verschicken dann eine getarnte LNK-Datei an einen oder mehrere Kollegen des Opfers. Und was passiert dann?

LNK-Datei sorgt für Ausübung eines bösartigen Skripts

Diese Datei ist im Prinzip nichts anderes als eine Verknüpfung, die die System-Kommandozeile öffnet und dann die Ausführung eines bösartigen Skriptes erzwingt. Das Opfer selbst sieht allerdings nur ein augenscheinlich ganz normales PDF oder Dokument, wodurch es keinen Verdacht schöpft.
Als nächstes erfolgt ein Dead-Drop-Resolve-Manöver. Es wird also ein „toter Briefkasten“ genutzt, um verschlüsselte Informationen für die nächste Angriffsstufe zu übertragen. Zu guter Letzt übernehmen die Hacker vollständig die Kontrolle über das System, verstecken bösartige Verknüpfungen so, dass sie sich ungehindert weiter ausführen lassen, und stellen eine Verbindung zum Command-and-Control-Server her.
Was ziemlich kompliziert klingt, erfüllt am Ende einen einfachen Zweck: die kontinuierliche Erstellung von Screenshots. Selbige landen dann direkt bei den Hackern, während diese parallel versuchen, weiteren Schadcode auszuführen.

Schutz vor Hacking-Angriffen der DeathStalker-Gruppe

Das Problem ist bislang, dass die Gruppe ihren Job versteht. Die eingeschleuste Schadsoftware ist nämlich teilweise sehr gut darin, gängige Sicherheitssoftware auszutricksen und unter dem Radar zu bleiben. Und selbst wenn sie als Schädling identifiziert wird, heißt das noch gar nichts, denn die Malware ist so intelligent, sich wahlweise zu deaktivieren oder entsprechend zu verändern, um wieder unsichtbar zu sein.
Das passiert zum Beispiel, wenn die Schadsoftware vorgaukelt, lediglich auf öffentliche Webseiten wie WordPress, YouTube oder Google zuzugreifen. Und vor allem Letztere dürfte wohl in keinem Unternehmen der Welt gesperrt sein. Um der ganzen Misere zu entgehen, genügt es aber, wachsam zu bleiben. Sobald Sie eine E-Mail mit einer LNK-Datei erhalten, sollten die Alarmglocken schrillen.
Achten Sie darüber hinaus darauf, dass Ihre Anti-Virus-Software immer auf dem aktuellsten Stand ist. Ein sorgfältiges Anti-Virus-Management sorgt dafür. Und ansonsten: Wenden Sie sich vertrauensvoll an unsere Experten aus dem IT-SERVICE.NETWORK.

Geschrieben von

Lena Klaus arbeitet seit 2018 als freie Autorin und SEO-Expertin für das IT-SERVICE.NETWORK. Besonders die Themen rund um den digitalen Wandel und New Work haben es ihr angetan. Darüber hinaus ist die erfahrene Texterin immer wieder fasziniert davon, welche neue Methoden und Tricks Hackern und Cyberkriminellen einfallen. Seit 2013 kennt Lena Klaus die IT-Branche und… Weiterlesen

Fragen zum Artikel? Frag den Autor
0 Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema IT-Sicherheit

IT-Sicherheit

AnyDesk-Hack

Anbieter von Fernwartungssoftware ist Ziel von Cyberattacke

von • 14.02.2024

Neuer Tag, neuer Sicherheitsvorfall: Jetzt hat es AnyDesk, den Anbieter der gleichnamigen Software getroffen. Das BSI empfiehlt Unternehmen, angesichts des AnyDesk-Hacks vors...

Weiterlesen
IT-Sicherheit

Datenleck bei Trello

15 Millionen Datensätze bei Hackerangriff auf Betreiber Atlassian erbeutet

von • 12.02.2024

Cyberkriminelle konnten durch ein Datenleck bei Trello offenbar Daten von mehr als 15 Millionen Daten abgreifen. In einem Hackerforum im Darknet stehen diese Daten zum Verkauf. Wir berichten, was e...

Weiterlesen
IT-Sicherheit

Have I Been Pwned

Webseite gibt Auskunft über durch Datenlecks geleakte Konto

von • 07.02.2024

Nachrichten über Datenlecks machen immer wieder die Runde. Häufig ist Nutzern dabei gar nicht bewusst, dass auch ihre Daten geleakt worden sein könnten. Die Webseite Have I Been Pwned gibt Gewisshe...

Weiterlesen